我正在寻找将2个额外的Windows Server 2003域控制器与6个安装在常规networking中的DC一起部署到一个单独的机密DMZ中,共计8个DC。 2台机密数据中心将通过IPSec与防火墙进行通信。
但是,我想知道如何停止定期的networking工作站和服务器试图与机密的区议会authentication? 有没有一种方法可以使用AD站点和服务来阻止常规的networking工作站和服务器尝试与这些机密的DC进行通信?
我想说的是,是否会有问题,或者当一个普通的networking工作站或服务器试图与机密数据中心进行身份validation,时间会导致问题,或者它会超时,尝试另一个数据中心,继续进行?
您不能完全阻止客户端计算机试图与他们“永远”沟通,但通过将他们放置在一个单独的AD站点(假设他们在与“生产”DC不同的子网),您将阻止客户端计算机只要至less有一个“生产”区域机构始终保持运转,就试图进入这些区域。 如果所有“生产”区域都不可用,客户将尝试联系另一个区域的DC–可能是“机密”区域。
先发制人,如果有人在另一个答案中提出:尝试玩游戏,由“机密”区议会创build的DNS条目可能是一个坏主意。 我不怀疑,有一种方法可以操纵DC注册的DNS条目来停止身份validation,但仍然允许复制,但我无法想象微软会“支持”这样的猴子业务。
更好的答案是(如果可能的话)使用ADAM(现在称为AD LDS)而不是将真正的DC放置在DMZ中。 如果没有,我一定会设置域隔离
我们正在我们的DMZ中部署一个Windows Server 2008只读域控制器用于Web服务。 以前我们使用的是2003服务器和本地帐户,但这是一个pipe理噩梦。 我们遵循本指南,使用DMZ中的新森林,并创build单向信任,以便我们的内部用户可以使用其现有帐户进行身份validation。